Configurar Citrix Secure Access para usuarios de iOS
Importante:
Citrix SSO para iOS ahora pasa a llamarse Citrix Secure Access. Estamos actualizando nuestra documentación y las capturas de pantalla de la interfaz de usuario para reflejar este cambio de nombre. Es posible que observe las referencias de SSO de Citrix utilizadas en la documentación durante este período de transición.
La VPN no se puede usar en iOS 12 y versiones posteriores. Para continuar con la VPN, utilice Citrix Secure Access.
Para ver la lista de algunas de las funciones más utilizadas que admite Citrix Secure Access para iOS, consulte Clientes VPN de NetScaler Gateway y funciones compatibles.
Compatibilidad con productos MDM
Citrix Secure Access (macOS/iOS) es compatible con la mayoría de los proveedores de MDM, como Citrix Endpoint Management (anteriormente XenMobile), Microsoft Intune, etc.
Citrix Secure Access (macOS/iOS) también admite una función denominada Control de acceso a la red (NAC). Para obtener más información sobre NAC, consulte Configurar la comprobación del dispositivo de control de acceso a la red para el servidor virtual de NetScaler Gateway para el inicio de sesiónde Con NAC, los administradores de MDM pueden imponer el cumplimiento de los dispositivos del usuario final antes de conectarse al dispositivo NetScaler. NAC en Citrix Secure Access (macOS/iOS) requiere un servidor MDM como Citrix Endpoint Management o Intune y NetScaler.
Nota:
Para usar el cliente Citrix Secure Access en macOS/iOS con NetScaler Gateway VPN sin MDM, debe agregar una configuración de VPN. Puede agregar la configuración de VPN en iOS desde la página principal de Citrix Secure Access (macOS/iOS).
Configurar un perfil de VPN administrado por MDM para el cliente Citrix Secure Access (macOS/iOS)
En la siguiente sección se muestran instrucciones paso a paso para configurar perfiles de VPN para todo el dispositivo y por aplicación para el cliente Citrix Secure Access (macOS/iOS) mediante Citrix Endpoint Management (anteriormente XenMobile) como ejemplo. Otras soluciones de MDM pueden usar este documento como referencia cuando trabajen con Citrix Secure Access (macOS/iOS).
Nota:
En esta sección se explican los pasos de configuración de un perfil VPN básico para todo el dispositivo y por aplicación. También puede configurar Proxies bajo demanda siguiendo la documentación de Citrix Endpoint Management (anteriormente XenMobile) o la configuración de carga útil de VPN de MDM de Apple.
Perfiles VPN a nivel de dispositivo
Los perfiles VPN a nivel de dispositivo se utilizan para configurar una VPN para todo el sistema. El tráfico de todas las aplicaciones y servicios se dirige a NetScaler Gateway en función de las directivas de VPN (como túnel completo, túnel dividido, túnel dividido inverso) definidas en NetScaler.
Para configurar una VPN a nivel de dispositivo en Citrix Endpoint Management
Realice los siguientes pasos para configurar una VPN a nivel de dispositivo en Citrix Endpoint Management.
-
En la consola de Citrix Endpoint Management MDM, vaya a Configurar > Directivas de dispositivo > Agregar nueva directiva.
-
Seleccione iOS en el panel Plataforma de directivas izquierdo. Selecciona VPN en el panel derecho.
-
En la página Información de directiva, introduzca un nombre y una descripción de directiva válidos y haga clic en Siguiente.
-
En la página Directiva de VPN para iOS, escriba un nombre de conexión válido y elija SSL personalizado en Tipo de conexión.
En la carga útil de VPN de MDM, el nombre de la conexión corresponde a la clave UserDefinedName y la clave de tipo VPN debe establecerse en VPN.
-
En Identificador SSL personalizado (formato DNS inverso), escriba com.citrix.NetscalerGateway.ios.app. Este es el identificador de paquete de Citrix Secure Access en iOS.
En la carga útil de VPN de MDM, el identificador SSL personalizado corresponde a la clave VPNSubType.
-
En el identificador del paquete del proveedor, escriba com.citrix.NetScalerGateway.ios.app.vpnPlugin. Es el identificador del paquete de la extensión de red que se encuentra en el binario de la aplicación Citrix Secure Access para iOS.
En la carga útil de VPN de MDM, el identificador del paquete de proveedores corresponde a la clave ProviderBundleIdentifier.
-
En Nombre del servidor o dirección IP, introduzca la dirección IP o FQDN (nombre de dominio completo) del NetScaler asociado a esta instancia de Citrix Endpoint Management.
El resto de los campos de la página de configuración son opcionales. Las configuraciones de estos campos se encuentran en la documentación de Citrix Endpoint Management (anteriormente XenMobile).
-
Haga clic en Siguiente.
-
Haga clic en Guardar.
Perfiles VPN por aplicación
Los perfiles VPN por aplicación se utilizan para configurar la VPN para una aplicación específica. El tráfico de la aplicación específica se canalizará únicamente a NetScaler Gateway. La carga útil de VPN por aplicación admite todas las claves de la VPN en todo el dispositivo, además de algunas otras claves.
Para configurar una VPN por aplicación en Citrix Endpoint Management
Realice los siguientes pasos para configurar una VPN por aplicación:
-
Complete la configuración VPN a nivel de dispositivo en Citrix Endpoint Management.
-
Active el interruptor Habilitar VPN por aplicación en la sección VPN por aplicación.
-
Encienda el conmutador On-Demand Match App si Citrix Secure Access (macOS/iOS) debe iniciarse automáticamente al iniciar la aplicación Match. Esto se recomienda para la mayoría de los casos por aplicación.
En la carga útil de VPN de MDM, este campo corresponde a la clave OnDemandMatchAppEnabled.
-
En Tipo de proveedor, seleccione Túnel de paquetes.
En la carga útil de VPN de MDM, este campo corresponde al tipo de proveedorclave.
-
La configuración de Safari Domain es opcional. Cuando se configura un dominio de Safari, Citrix Secure Access (macOS/iOS) se inicia automáticamente cuando los usuarios inician Safari y navegan hasta una URL que coincide con la del campo Dominio. Esto no es recomendable si quieres restringir la VPN para una aplicación específica.
En la carga útil de VPN de MDM, este campo corresponde a la clave SafariDomains.
El resto de los campos de la página de configuración son opcionales. Las configuraciones de estos campos se encuentran en la documentación de Citrix Endpoint Management (anteriormente XenMobile).
-
Haz clic en Siguiente.
-
Haga clic en Guardar.
Para asociar este perfil de VPN a una aplicación específica del dispositivo, debe crear una directiva de inventario de aplicaciones y una directiva del proveedor de credenciales siguiendo esta guía - https://www.citrix.com/blogs/2016/04/19/per-app-vpn-with-xenmobile-and-citrix-vpn/.
Configuración de túnel dividido en VPN por aplicación
Los clientes de MDM pueden configurar el túnel dividido en una VPN por aplicación para Citrix Secure Access (macOS/iOS). El siguiente par clave/valor debe agregarse a la sección de configuración del proveedor del perfil VPN creado en el servidor MDM.
- Key = "PerAppSplitTunnel"
- Value = "true or 1 or yes"
<!--NeedCopy-->
La clave distingue entre mayúsculas y minúsculas y debe coincidir exactamente, mientras que el valor no distingue mayúsculas
Nota:
La interfaz de usuario para configurar la configuración del proveedor no es estándar en todos los proveedores de MDM. Póngase en contacto con el proveedor de MDM para buscar la sección de configuración del proveedor en la consola de usuario de MDM.
A continuación se muestra una captura de pantalla de ejemplo de la configuración (configuración específica del proveedor) en Citrix Endpoint Management.
A continuación se muestra una captura de pantalla de ejemplo de la configuración (configuración específica del proveedor) en Microsoft Intune.
Inhabilitar los perfiles VPN creados por el usuario
Los clientes de MDM pueden impedir que los usuarios creen manualmente perfiles de VPN desde Citrix Secure Access (macOS/iOS). Para ello, se debe agregar el siguiente par clave/valor a la sección de configuración del proveedor del perfil VPN creado en el servidor MDM.
- Key = "disableUserProfiles"
- Value = "true or 1 or yes"
<!--NeedCopy-->
La clave distingue entre mayúsculas y minúsculas y debe coincidir exactamente, mientras que el valor no distingue mayúsculas
Nota:
La interfaz de usuario para configurar la configuración del proveedor no es estándar en todos los proveedores de MDM. Póngase en contacto con el proveedor de MDM para buscar la sección de configuración del proveedor en la consola de usuario de MDM.
A continuación se muestra una captura de pantalla de ejemplo de la configuración (configuración específica del proveedor) en Citrix Endpoint Management.
A continuación se muestra una captura de pantalla de ejemplo de la configuración (configuración específica del proveedor) en Microsoft Intune.
Manejo DNS
La configuración de DNS recomendada para el cliente Citrix Secure Access es la siguiente:
- Dividir DNS > REMOTE si el túnel dividido está en OFF.
- DNS dividido > BOTH si el túnel dividido está activado. En este caso, los administradores tienen que agregar sufijos DNS para los dominios de la intranet. Las consultas DNS de los FQDN pertenecientes a sufijos DNS se tunelizan al dispositivo NetScaler y las consultas restantes se dirigen al enrutador local.
Nota:
Se recomienda que el indicador de corrección de truncamiento de DNS esté siempre activado. Para obtener más información detallada, consulte https://support.citrix.com/article/CTX200243.
Cuando el túnel dividido se establece en ON y DNS dividido en REMOTE, puede haber problemas para resolver las consultas DNS después de conectar la VPN. Esto se relaciona con que el marco de extensión de red no intercepta todas las consultas DNS.
Problemas conocidos
Descripción del problema: Túnel para direcciones FQDN que contienen un dominio “.local”
en configuraciones VPN por aplicación o VPN bajo demanda. Hay un error en el marco de extensiones de red de Apple que impide que las direcciones FQDN que contienen .local
en la parte del dominio (por ejemplo, http://wwww.abc.local) se envíen por túnel a través de la interfaz TUN del sistema. En su lugar, el tráfico de las direcciones FQDN se envía a través de la interfaz física del dispositivo cliente. El problema solo se observa con la configuración de VPN por aplicación o VPN bajo demanda y no se observa con las configuraciones de VPN de todo el sistema. Citrix ha presentado un informe de error de radar a Apple y Apple ha observado que, según el RFC-6762: https://tools.ietf.org/html/rfc6762, local es una consulta de DNS de multidifusión (mDNS) y, por lo tanto, no es un error. Sin embargo, Apple aún no ha cerrado el error y no está claro si el problema se solucionará en futuras versiones de iOS.
Solución alternativa: Asigne un nombre de dominio non .local
para tales direcciones como solución alternativa.
Limitaciones
- El análisis de punto final (EPA) no es compatible con iOS.
- No se admite la tunelización dividida basada en puertos/protocolos.